Für MSPs: Anleitung zum Erstellen eines Notfallplans

Wenn es zu einem Zwischenfall bei der Cybersecurity kommt, zählt jede Sekunde. Daher sollten Sie einen umfangreichen Notfallplan ausarbeiten, bevor es zu einem derartigen Vorfall kommt. Auf diese Weise sind Sie angemessen auf die Situation vorbereitet, um schnell entsprechende Gegenmaßnahmen ergreifen und die Auswirkungen des Angriffs minimieren zu können.

In diesem Blogartikel erläutern wir Ihnen, worauf es bei der Auslegung eines Notfallplans ankommt.

1. Schritt: Den Kunden verstehen

Bei Cybersecurity gibt es keine Universallösung. Für eine auf Ihren Kunden zurechtgeschnittene Sicherheitsstrategie gilt es, die unterschiedlichsten Faktoren zu berücksichtigen, wie die Sicherheits- und Konformitätsanforderungen, Datenprioritäten, das Budget, die IT-Infrastruktur und so weiter. Dasselbe gilt auch bei der Entwicklung eines Notfallplans.

Nehmen Sie sich während der Vorbereitungsphase die Zeit, die IT-Umgebung Ihres Kunden abzustecken und die wichtigsten Ressourcen zu bestimmen. Sehen Sie es als eine Art Risikobewertung. Welche Systeme, Dienste und Anwendungen sind zur Wiederherstellung im Falle eines Angriffs am wichtigsten? Welche Datenspeicher sind für den Kunden als auch den möglichen Angreifer am wichtigsten? Welcher Risikograd ist angesichts technischer und/oder finanzieller Einschränkungen akzeptabel?

Bleiben Sie bei Ihrer Bewertung objektiv und ermutigen Sie Ihren Kunden, bezüglich potenzieller Schwachstellen, die existieren könnten, offen und auskunftsbereit zu sein. Es ist unerlässlich, die IT-Systeme und unternehmenskritischen Ressourcen des Kunden besser zu verstehen, um Gegenmittel am wirkungsvollsten einsetzen zu können.

2. Schritt: Ihr Team aufbauen

Nach der Risikobewertung des Kunden müssen Sie Ihr Team zusammenstellen, also die Personen festlegen, die dafür verantwortlich sind, auf einen Vorfall zu reagieren und den Notfallplan umzusetzen. Während einigen MSPs für dieses Team möglicherweise genug interne Mitarbeiter zur Verfügung stehen, ist es für andere möglicherweise erforderlich, Personallücken durch externe Spezialisten auszugleichen.

Es ist wichtig, dass Notfallteam angemessen zu koordinieren. Als MSP liegt Ihre Verantwortung eventuell eher darin, die Reaktion zu organisieren, als sie selbst auszuführen. Sie fungieren auch als Vermittler zwischen Ihrem Kunden und den Spezialisten in Ihrem Notfallteam. Sie leiten also die technische Seite der Reaktion und müssen andererseits den Kunden klar und deutlich über die möglichen Gegenmaßnahmen sowie deren Fortschritt informieren.

3. Schritt: Notfallmaßnahmen festlegen

Nachdem Sie das Team zusammengestellt haben, müssen Sie die Notfallmaßnahmen festlegen. Das sind die einzelnen Schritte, die im Falle eines Angriffs durchzuführen sind, um das Problem zu beheben und die Systeme des Kunden wieder regulär betriebsfähig zu machen. Dabei müssen auch Fristen, unter anderem für die Reaktion und Behebung, festgelegt werden.

Je nach Unternehmen kann es jeden Tag Hunderte, wenn nicht sogar Tausende Sicherheitsmeldungen geben. MSPs sollten die Reaktionsaufgaben also wann immer möglich automatisieren. Automatisierte Gegenmaßnahmen und Vorgehensweisen müssen ebenfalls ausführlich im Notfallplan aufgeführt werden.

Automatisierte Tools können zwar sich wiederholende Aufgaben in einem gewissen Maße reduzieren, mitunter sind jedoch manuelle Eingriffe erforderlich, um Warnmeldungen zu untersuchen und die computergenerierten Daten zu analysieren. Dazu muss in dem Notfallplan festgelegt werden, wer im Notfallteam benachrichtigt werden soll, an welchem Punkt der Reaktionskette das geschehen soll und welche Kommunikationskanäle von den Kontaktpersonen verwendet werden sollen.

Gegenmaßnahmen müssen immer auf die Anforderung des jeweiligen Kunden angepasst werden, enthalten in der Regel aber die folgenden Schritte:

• Benachrichtigung der entsprechenden Mitglieder im Notfallteam sowie der Kontaktpersonen des Kunden
• Bewertung der Situation
• Sammlung von möglichst vielen Informationen
• Bestimmung der Ausmaße des Vorfalls
• Isolierung und Untersuchung der betroffenen Systeme
• Anlegen von Sicherungen der betroffenen Systeme
• Speicherung der Protokolle und Einzelheiten des Vorfalls zur weiteren Analyse
• Behebung des Vorfalls
• Wiederherstellung der betroffenen Systeme und Überwachung der Stabilität
• Behebung der Schwachstelle, durch die der Vorfall möglich war
• Unterstützung des Kunden hinsichtlich der technischen Seite in öffentlichen Verlautbarungen oder Meldungen zur Datenschutzverletzung, die eventuell gesetzlich vorgeschrieben sind

4. Schritt: Eigenschutz nicht vergessen

Ein Notfallplan darf auch nicht nur darauf beschränkt sein, Ihren Kunden zu helfen. Er muss natürlich auch Schritte enthalten, wie Sie Ihr eigenes Unternehmen schützen können. Abhängig von der Art des Vorfalls könnte es auch Fragen der Haftung oder eine mögliche Rufschädigung geben, insbesondere weil der für den Schutz verantwortliche MSP selbst häufig wesentlich kleiner ist als das zu schützende Unternehmen. Daher sollte Ihr Notfallplan auch folgendes enthalten:

• Die Kontaktdaten Ihres Versicherungsanbieters
• Die Kontaktdaten Ihrer Rechtsabteilung
• Die Kontaktdaten der Strafverfolgungsbehörden
• Wie mit Ihren Kunden zu kommunizieren ist (z. B. Ansprechpartner, bevorzugte Kontaktmethode, Fristen usw.)

5. Schritt: Testen, testen, testen

Einen Notfallplan aufzusetzen, ist eine Sache, diesen bei einem tatsächlichen Vorfall auch umzusetzen, eine ganz andere.

Nachdem Sie den Notfallplan eingerichtet haben, ist es an der Zeit, ihn zu testen. Wählen Sie einen Cybersicherheitsvorfall – zielgerichtet oder zufällig – und befolgen Sie die einzelnen Schritte des Notfallplan genauso, wie sie ausgelegt sind. Mit derartigen theoretischen Übungen können Sie besser nachvollziehen, ob Ihr Team auch unter Druck den Vorfall beheben kann. Außerdem lassen sich mögliche Lücken in der Reaktionskette aufdecken. Versuchen Sie, Ihren Notfallplan regelmäßig (mindestens einmal pro Jahr) zu testen, zu überprüfen und zu aktualisieren.

Nach der Reaktion auf einen tatsächlichen Zwischenfall muss eine umfangreiche Nachprüfung erfolgen. Jegliche während und nach dem Vorfall gemachten Erkenntnisse müssen außerdem in den Notfallplan integriert werden.

6. Schritt: Den Plan aktuell halten

Die Bedrohungslandschaft befindet sich in einem ständigen Wandel und auch die Anforderungen Ihrer Kunden ändern sich. Daher darf ein Notfallplan keinesfalls als ein statisches Dokument behandelt, sondern muss ständig aktualisiert werden, um Veränderungen zu berücksichtigen, die Ihre Gegenmaßnahmen beeinträchtigen könnten.

So müssen Sie beispielsweise die Kontaktdaten im Notfallplan aktualisieren, wenn eine verantwortliche Person das Unternehmen verlässt, oder Ihre Vorgehensweisen anpassen, wenn Sie für die Gegenmaßnahmen ein neues Forensiktool einsetzen.

Veraltete oder falsche Informationen können die Reaktion und Eindämmung einer Bedrohung erheblich behindern. Überprüfen Sie Ihre Notfallpläne also regelmäßig, um das Risiko durch Unstimmigkeiten zu minimieren.

Fazit

Bei Cybersecurity sollte man immer auf das Schlimmste vorbereitet sein. Selbstverständlich müssen alle Anstrengungen unternommen werden, um die Systeme eines Kunden bestmöglich zu schützen. Aber eine absolute Sicherheit wird es nie geben. Sollte es zu einem Zwischenfall kommen, ist ein Notfallplan unerlässlich, damit Sie und Ihre Kunden gut vorbereitet mit der Situation umgehen, die Bedrohung entschärfen und die Systeme so schnell wie möglich wieder betriebsbereit machen können.

Übersetzung: Doreen Schäfer